[보안이슈]크리덴셜 스터핑 - 공격수법, 피해사례, 대처방안

 

온라인 쇼핑몰부터 통신사까지!
이용자의 계정을 도용해 금전적 손해를 끼치는
계정 도용 피해가 속출하고 있습니다.

원인은 비밀번호에 의한 보안 구멍!
사이트마다 다르게 하지 않고
동일한 아이디와 비밀번호를 그대로 사용하는
허점을 노린 건데요.💀

 

 

사용된 공격 기법은 크리덴셜 스터핑으로
추정되고 있습니다.
크리덴셜 스터핑이란 무엇일까요?

 

크리덴셜 스터핑(Credential Stuffing)은

다른 곳에서 유출된 아이디와 비밀번호를

여러 사이트에 무작위로 대입해,

로그인이 성공하면 해당 이용자 정보를

빼가는 공격 수법을 뜻하는데요.

 

대개 이용자들은 한 가지 비밀번호를

계속 재사용하기 때문에

하나의 계정과 연계된 비밀번호를 확보하면

여러 사이트에 로그인할 수 있다는 점을 노린

수법이라고 할 수 있습니다.

 

최근 국내에서

이러한 크리덴셜 스터핑으로 추정되는

사이버 공격이 동시다발적으로 발생하고 있어

주의가 요구되고 있죠.

 

 

 

[온라인 쇼핑몰, 계정 도용해 금전적 피해 유발]

"피해액만 150만원이에요. 제가 사놓은 문화상품권 쓰려고 보니 '사용완료'라고 뜨더라고요."

"O마켓에서 구입한 상품권 사용하려고 하니 '사용완료'라고 나와요"

 

 

SNS과 온라인 카페를 중심으로

피해를 입었다는 글이 쏟아지고 있습니다.

피해액은 5만원, 10만원 등 소액부터

150만원을 넘어가는 금액까지 다양한데요.

 

 

 

이용자들이 선결제로 구매 후

보관 중이던 미사용 모바일 상품권을

무단으로 사용하거나

상품권을 현금화해 빼돌린 뒤

탈퇴하는 식으로 피해를 입혔습니다.

 

[통신사 요금제 변경 사고]

통신사 이용자 역시 피해를 입었는데요.

공격자는 탈취한 정보를 가지고

이용자의 계정으로 로그인해

요금제를 아무렇게나 바꿔 놓기도 했습니다.

 

그럼 누가 어디서 얼마 만큼의 정보를 빼서

어떻게 악용하고 있는 것일까요.

안타깝게도 알 수 없는 경우가 많습니다.😥

 

크리덴셜 스터핑 공격은

데이터 기록을 잘 남기지 않기 때문이죠.

 

 

 

■비밀번호, 자주 바꾸고 매번 다르게!

■사이트별 동일 ID·비번 ❌!🙅‍♀️

 

그렇다면 이와 같은 피해를 예방할 수 있는

방법에는 어떤 것들이 있을까요?

 

이용자 입장에선

▲웹사이트마다 비밀번호를 다르게 설정하고,

▲비밀번호를 주기적으로 교체해야

피해 가능성을 낮출 수 있습니다.

 

장기간 이용하지 않는 서비스가 있다면

사이트에서 탈퇴하는 것이 도움이 되겠죠.

 

악성코드 감염으로 인한

계정정보 탈취를 막기 위해

웹브라우저 내 비밀번호 자동 저장 기능도

사용을 자제하는 것이 좋습니다.

 

또한 비밀번호 이외에

휴대폰 문자인증, 이메일 인증,

전화인증, 생체인증 등

2차 인증이 가능한 웹사이트나 앱은 2차 인증을

필수로 설정하는 것 역시 보안을 강화하는데

도움이 됩니다.

 

 

 

개인뿐만 아니라 기업 역시

보안을 강화해야 한다는 지적도 나옵니다.

 

특히 기업 내에서는 직원 간 특정 계정의

비밀번호를 공유하는 경우가 많은데요.

이를 지양하고, 주요 업무에 대해선

계정을 이중 인증하는 식으로 바꾸는

조치가 필요할 것 같습니다.

 

한 곳에서 정보가 탈취되면

여러 웹사이트에서 개인정보 유출,

금전 등의 피해를 입을 수 있는 만큼

이용자와 기업 모두의 각별한 주의가

요구되는 시점입니다.

 

올바른 비밀번호 관리 습관을 통해

보다 안전하게 온라인 생활을 즐겨보세요 :D !